GENOウイルススレ ★5
at SEC
1:名無しさん@お腹いっぱい。
09/05/16 04:17:02
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD
感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
URLリンク(anubis.iseclab.org)
★GENOウイルスまとめ
URLリンク(www29.atwiki.jp)
★このサイトは諸事情により内容を書き換え
URLリンク(www3.atword.jp)
★過去スレ
GENOウイルススレ ★4
スレリンク(sec板)
GENOウイルススレ ★3
スレリンク(sec板)
GENOウイルススレ ★2
スレリンク(sec板)
GENOウイルススレ
スレリンク(sec板)
2:名無しさん@お腹いっぱい。
09/05/16 04:17:42
感染予防対策
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.NoScriptの導入(Firefoxの導入)
4.Adobe Acrobat Readerの JavaScript 機能OFF
5.危険IPのブロック
諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例
1.Adobe Readerを起動し「編集」メニューの「環境設定」
「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す)
OKを押して設定確定後、Adobe Readerを終了。
↓
2.必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
設定は SpeedUp - Fast がおすすめ。
注意すべきは
Acroform(拡張子なし)
Annotations(拡張子なし)
これら2つのチェックボックスをオン(チェックが入っている)状態にしておく必要がある。
そうしないと Adobe Reader が起動しなかったりする。
このとき追加作業として
EScript.apiとEScript.JPNのチェックボックスをオフ(チェックを外す)状態にしておくと
より安心かもしれない。
以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Reader以外の環境設定をどうするかも各自考える必要があります。
3:名無しさん@お腹いっぱい。
09/05/16 04:18:27
以下攻撃されたサイト
小林製薬
URLリンク(www.kobayashi.co.jp)
国内の正規サイト改ざん:攻撃サイトを変え再襲来
URLリンク(www.so-net.ne.jp)
★感染を疑った人の報告
【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】
4:名無しさん@お腹いっぱい。
09/05/16 04:19:53
現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。
インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
感染しない環境には何も返さない(更に検証が難しい)
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
※検出率が上がる頃には次の種類になっている
感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
URLリンク(www3.atword.jp)
5:名無しさん@お腹いっぱい。
09/05/16 04:24:44
次スレいらないね
6:名無しさん@お腹いっぱい。
09/05/16 04:24:44
正常なsqlsodbc.chm
ファイルサイズ:50,727バイト
CRC32:B61C7A80
MD5:F639AFDE02547603A3D3930EE4BF8C12
SHA-1:FBDD32ED13D27E4102621E1067FDF3634F33B2C3
7:名無しさん@お腹いっぱい。
09/05/16 04:25:50
【感染の確認方法】
@cmd.exe(コマンドプロント)、regedit.exe(レジストリエディタ)が起動するか確認する
※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「regedit.exe」と入力して「OK」ボタンを押す。
※立ち上がったことを確認したら弄らず閉じること。
3.同様に、「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
※立ち上がったことを確認したらAへ
Asqlsodbc.chmのファイルサイズの確認を確認する
■Windows XP:
改ざんされていなければ
C:\WINDOWS\system32\sqlsodbc.chm 50,727 bytes
■Windows 2000:
そもそも存在しないはずなので、
C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
→背景が黒いウィンドウが開いた場合3へ
→起動しない場合:感染疑い濃厚
3.背景が黒いウィンドウを選択。
小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー
Bavast!(無料のアンチウイルスソフト)で確認
8:名無しさん@お腹いっぱい。
09/05/16 04:27:35
Flash Player はブラウザごとに最新であることを確認してください。
IEで最新でもFirefoxは古いままだったり、その逆もあります。
9:名無しさん@お腹いっぱい。
09/05/16 04:30:51
初心者や質問がある方は
スレリンク(doujin板)
上記のスレに行くと優しく教えてくれるかもです
10:名無しさん@お腹いっぱい。
09/05/16 04:32:21
/)
///)
/,.=゙''"/
/ i f ,.r='"-‐'つ____ キャッシュ消しゃーいいんだよ!
/ / _,.-‐'~/⌒ ⌒\
/ ,i ,二ニ⊃( ●). (●)\
/ ノ il゙フ::::::⌒(__人__)⌒::::: \
,イ「ト、 ,!,!| |r┬-| |
/ iトヾヽ_/ィ"\ `ー'´ /
11:名無しさん@お腹いっぱい。
09/05/16 04:34:11
確実な対策が出るまでネットはやめた方がいいってことですか?
12:名無しさん@お腹いっぱい。
09/05/16 04:35:43
でもネット繋がないと最新の対策を知れないというジレンマ
13:名無しさん@お腹いっぱい。
09/05/16 04:36:50
>こっちは、初心者や質問 お断りのテンプレ専用スレにはできないものか?
14:名無しさん@お腹いっぱい。
09/05/16 04:37:32
Adobe Flash Player バージョンテスト
URLリンク(www.adobe.com)
15:名無しさん@お腹いっぱい。
09/05/16 04:38:21
とりあえず対策とりつつ
余計なサイトを見に行かないようにしていればいいじゃないのかえ
16:名無しさん@お腹いっぱい。
09/05/16 04:38:38
avastって結構早めに対応してたっぽいね
今のカスペル試し終わったらつかおっかな?
あヴぃら・・・にはがっくりだよ
17:名無しさん@お腹いっぱい。
09/05/16 04:39:04
ところで前スレの痛いニュースの俺はどちらのスレも立てていない件について
まあどうでもいいんだけどな
18:名無しさん@お腹いっぱい。
09/05/16 04:39:43
人減ってきたけどまた昼になれば増えそうな予感
19:名無しさん@お腹いっぱい。
09/05/16 04:39:43
ノートン先生機嫌切れで買おうかと思ってたけどもうアバストでいいわ
20:名無しさん@お腹いっぱい。
09/05/16 04:40:28
1〜2スレまでまったりしてたのに
なんで急に加速しだしたんだ?
21:名無しさん@お腹いっぱい。
09/05/16 04:40:39
これってサイト持ちじゃなければあんまり関係ないかと思っていたら
クレカ情報も抜かれるの?
>>1だと重大性があんまりわからないね
22:名無しさん@お腹いっぱい。
09/05/16 04:41:19
>>21
次のスレにでも危ないってことテンプレに入れよう
23:名無しさん@お腹いっぱい。
09/05/16 04:42:38
>>20
隠蔽の成果で順調に感染拡大したんだろ
24:名無しさん@お腹いっぱい。
09/05/16 04:43:05
avast
感染サイト開くと警告
そのまま言う事聞けば感染しない
だけどそのサイトよく行ってるから誤検出かと思った
あざといぞこのウィルス
25:名無しさん@お腹いっぱい。
09/05/16 04:43:22
>>20
同人板の人達がなだれ込んできたから。
26:名無しさん@お腹いっぱい。
09/05/16 04:45:36
つい一昨日くらいまでavastでトロイ警告出してたサイトが今行ったらうんともすんともいわない
管理人対策してないっぽいのにどうしたんだろ
27:名無しさん@お腹いっぱい。
09/05/16 04:45:37
VirtualPC + LINUX でネットしてれば大丈夫?
28:名無しさん@お腹いっぱい。
09/05/16 04:46:46
>>26
こっちもそういうサイト見つけた
どういうことだろう
29:名無しさん@お腹いっぱい。
09/05/16 04:46:48
一度感染したPCは
他人に乗っ取られているのと同じ
WindowsUpdateの変わりにウィルスを
いつでも最新の状態に更新してくれます
30:名無しさん@お腹いっぱい。
09/05/16 04:47:08
もう2chしか見ない
31:名無しさん@お腹いっぱい。
09/05/16 04:47:35
523 :名無しさん@お腹いっぱい。 [↓] :2009/05/16(土) 00:47:48
>>1のサイトがいつなくなるかもわからないので、
現在感染中のサイトを転載しておく
p-frying■com/
www■zengozen■co■jp/
www■beauty-wed■co■jp/
skyhighpremium■com/
sound■jp/yudai_marimba/
www■thesis-report■com/
www■joyjoynet■com/
www■ti-a-ra■com/
www1■odn■ne■jp/revue1999/
www■nifty-hair■com/
32:名無しさん@お腹いっぱい。
09/05/16 04:48:04
>>20
セキュ板的には4月上旬が旬のスレで段々過疎って来てたのが
ついこの間動画サイトSayMove!が感染してから
また人が増えたって感じだな
33:名無しさん@お腹いっぱい。
09/05/16 04:48:55
俺はインフルのニュー速+かなんかのスレから着たわ
インフルエンザよりこっちのがよっぽど怖い
34:名無しさん@お腹いっぱい。
09/05/16 04:49:16
>>27
VirtualPCってことは、ホストOSはWindowsだよね?
35:名無しさん@お腹いっぱい。
09/05/16 04:49:50
こういうのいつまで我慢すればいいんだ
36:名無しさん@お腹いっぱい。
09/05/16 04:49:50
GENOの対応の悪さったらないね
37:名無しさん@お腹いっぱい。
09/05/16 04:50:37
Flash Playerの最新版をDLしてインスコしようとすると、
「申し訳ありません。googleツールバーをインストールできません。
>再試行 >キャンセル」
って出てきて何度も再試行したり最初からDLしてやり直してもインスコ出来ません。
何が原因でしょうか…
38:名無しさん@お腹いっぱい。
09/05/16 04:54:42
\Drivers32
に.acmとか.axで設定されてるファイルがあるんだけど・・・
感染してるのかな
39:名無しさん@お腹いっぱい。
09/05/16 04:55:33
>>37
グーグルツールバーなんてでるっけ?
40:名無しさん@お腹いっぱい。
09/05/16 04:59:18
■GENOウイルス無料配布キャンペーン■
★延長のお知らせ★
41:名無しさん@お腹いっぱい。
09/05/16 04:59:50
426 :【5月16日3時時点での同人サイト感染状況】 [↓] :2009/05/16(土) 03:12:03 ID:NMcHxmSp0
1.エヴァ(小説サーチ)
2.ヘタリア(同人サイト)
3.テニミュ(同人サイト及びファンサイト)
4.戦国BASARA(同人サイト)
5.リボーン(プチオンリーサイト及びファンサイト)
6.おお振り(アンソロサイト)
7.ジョジョの奇妙な冒険(同人サイト)
8.バイオハザード(同人サイト)
9.戦国無双(同人サイト)
10.メガテン(同人サイト)
11.乙女ゲームのVitamin(同人サイト)
12.鋼の錬金術師(同人サイト)
13.ガンダム00(同人サイト)
14.幻想水滸伝(同人サイト)
15.忍たま乱太郎(同人サイト)
16.遙かなる時空の中で(同人サイト)
17.Fate(同人サイト)
42:名無しさん@お腹いっぱい。
09/05/16 05:00:16
Adobe Flash Playerのインストール
Adobe Flash Playerのバージョン 10.0.22.87
43:名無しさん@お腹いっぱい。
09/05/16 05:00:18
今北。 なにこれこわい。
マカーは関係ないの?
俺のHPが感染しないようにするにはどうしたらいいんだ。
44:名無しさん@お腹いっぱい。
09/05/16 05:01:16
>>43
495 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/16(土) 00:33:38
>>491
JavaScriptは動いてもMac上ではexeが勝手に動かないから大丈夫だよ
45:名無しさん@お腹いっぱい。
09/05/16 05:03:44
先ほどの>>37ですがすみません、自己解決しました
googleツールバーを最新にしてから改めてFlash Playerをインストールしたところ
正常にインストールされました。
46:名無しさん@お腹いっぱい。
09/05/16 05:03:57
急に加速してるからビビったw
そんなに広まってるってことかよ・・
2ちゃんが一番安全だなんてw
47:名無しさん@お腹いっぱい。
09/05/16 05:04:51
感染後クリーンインストールするとして
WEBに関係ない画像やテキストなどのデータはバックアップとっても大丈夫でしょうか?
48:名無しさん@お腹いっぱい。
09/05/16 05:06:05
>>41
同人板のスレ見てたら
東方
サンレッド
ブレイブルー
コードギアス
も報告来てたよ
49:43
09/05/16 05:06:25
>>44
ありがとう。
それにしても恐ろしいな。友達に言っとかないと…
50:名無しさん@お腹いっぱい。
09/05/16 05:06:47
感染してた人いないです?
話がききたい
51:名無しさん@お腹いっぱい。
09/05/16 05:08:12
>>24
あのさ、avastで開こうとしたら警告出るでしょ?
で、すぐにIE閉じた場合、チェストに移動できる?
俺、ウイルスチェストに移動できなくてエラーになったことあるんだが、
この場合、感染してしまったのかな?
ただ、TempInternetFileの中身を全削除してから、全ドライブを
avastでチェックかけたところ、ウイルスは出なかった
regeditも正常に起動できた
ウイルスに感染したページを開く前に、avastが警告出して
未然防止できたってことで良いのかな?
ただ、何でチェストに移動できなかったのかが謎だけど・・・
すぐにIE閉じたから?
52:名無しさん@お腹いっぱい。
09/05/16 05:08:19
>>50
前スレ見ろ。
53:名無しさん@お腹いっぱい。
09/05/16 05:08:27
>>49
自分もすぐ家族とPCに疎い友達に言ったよ
最初はふーんて感じだったけど
小林製薬の事はなしたら「気をつける」ってさ
54:名無しさん@お腹いっぱい。
09/05/16 05:09:00
sqlsodbc
サイズ 49.5 KB (50,727 バイト)
ディスク上のサイズ 52.0 KB (53,248 バイト)
これって( )内の数字が正しいから大丈夫だよね?
55:名無しさん@お腹いっぱい。
09/05/16 05:11:13
>>51
自分の場合は「そのまま閉じなさい」みたいに言われたから閉じるボタン押したよ
いつもだったらチェストに移動とか出るけどその時は「閉じる」一択だったわ
多分大丈夫
こちらもウィルスチェックしたけど何も出なかった
56:名無しさん@お腹いっぱい。
09/05/16 05:13:01
PC疎い人が「気をつける」って
何を気をつけるんだろうな…
ウィルスに感染してるサイトは特別な状態になってるとか
思ってそうだ
57:名無しさん@お腹いっぱい。
09/05/16 05:13:46
>>55
あれ、「チェストに移動する(推奨)」とか出なかった?
通常は、「削除」「チェストに移動」のどっちか選べるよね?
あまりに危険だから、チェストに移動できないタイプだったのかな?
58:名無しさん@お腹いっぱい。
09/05/16 05:15:33
>>54
md5で確認したファイルとサイズは同じだね
気になるならmd5見たほうがいいんじゃないかな
59:名無しさん@お腹いっぱい。
09/05/16 05:18:08
>>57
うん。普通のタイプのウィルスだったら「チェストに移動」が出るんだけど
今回のは出なかったよ
こういう事あるんだなー
60:名無しさん@お腹いっぱい。
09/05/16 05:19:27
>>59
俺の場合、「チェストに移動」って出てきたよ
だけど、クリックしたのに「エラー」になって移動できなかった
61:名無しさん@お腹いっぱい。
09/05/16 05:20:44
>>56
まぁウィルスという言葉が片隅にあるのとないのじゃ対策の仕方も変わるしいいんでないの
62:名無しさん@お腹いっぱい。
09/05/16 05:22:23
とりあえずはavastさんがどうにかしてくれてるわけね
63:名無しさん@お腹いっぱい。
09/05/16 05:22:44
cmd.exeで実行してdir C:\WINDOWS\system32\sqlsodbc.chmでエンター押したら
ファイルが見つかりませんって出たんだけどこれはアウト?
さっきまで1個のファイル 50,727バイトって表示されてたんだけど、
まとめサイトにのってるニフティのサイト開いてKasperskyもダウンロードしたあと試したらこうなった
64:名無しさん@お腹いっぱい。
09/05/16 05:22:47
>>47
断言は出来ない
出来ないけどたぶん大丈夫じゃね?
このウイルスは今のところCドライブのシステム関連を改変するだけっぽいので
それ以外の場所のテキストファイルや画像・動画ファイルとかはたぶん問題ないと思う
たぶんね(責任は持てないけど)
65:名無しさん@お腹いっぱい。
09/05/16 05:24:14
>>63
それ開けてる
66:名無しさん@お腹いっぱい。
09/05/16 05:24:27
>>63
普通にエクスプローラで見てみれば?
67:名無しさん@お腹いっぱい。
09/05/16 05:26:08
今日寝ずにオンラインスキャンしたりブラウザの設定したよ...
68:名無しさん@お腹いっぱい。
09/05/16 05:26:44
>>63
キャッシュ削除すればおkってゲロさんが言ってた
69:名無しさん@お腹いっぱい。
09/05/16 05:27:59
キャッシュ消してもウィルスが消えるわけじゃないんですよね、社員さん
70:名無しさん@お腹いっぱい。
09/05/16 05:28:55
ゲロさんの言うキャッシュ削除は役に立たないってまとめwikiにあったが
71:名無しさん@お腹いっぱい。
09/05/16 05:29:16
>>38
そっちのファイルが何かわからないけど
こっちも調べたら.acmや.axがあったわ・・・・
けど、ググてみたら普通にレジストリにあるぽいんだよね・・・・
どうなんだろう
72:名無しさん@お腹いっぱい。
09/05/16 05:30:24
>>65>>66
開けてるけど1個のファイル 50,727バイトって出ないとアウトなんじゃないの
でもsqlsodbc.chmプロパティ開いてみたら50,727バイトなってた。
これはセーフなのかアウトなのか・・・
73:名無しさん@お腹いっぱい。
09/05/16 05:33:20
さっきまで女とヤりまくってたんだけど
実はウイルスのことで頭がいっぱいだったんだ。
この外国帰りの女。まさか豚ウイルス持ち帰ってねーだろな。
ってな。
74:名無しさん@お腹いっぱい。
09/05/16 05:34:02
>>72
カスペでウィルスチェックしたの?
全部
75:名無しさん@お腹いっぱい。
09/05/16 05:34:33
GENOってノートンで[94.247.2.0]-[94.247.3.255]を遮断してれば大丈夫?
その他の対策もやっといた方がいいんでしょうか
76:名無しさん@お腹いっぱい。
09/05/16 05:34:51
システムフォルダがWINDOWSじゃないとか
システムドライブがC:じゃないとか
77:名無しさん@お腹いっぱい。
09/05/16 05:35:44
>>72
お前はもうアウトだと思ってネット切っとけ…
78:名無しさん@お腹いっぱい。
09/05/16 05:38:00
>>74
カスパーインストールしようとすると「インストールノログを開くときにエラーが発生しました。
指定されたファイルの場所が存在し、書き込み可能であることを確認してください」って出てしまう
79:名無しさん@お腹いっぱい。
09/05/16 05:41:08
vipとかも蔓延してそうだな
80:名無しさん@お腹いっぱい。
09/05/16 05:41:47
>>78
まずウィルスチェックしてください
他のウィルス対策ソフトやオンラインスキャンが使えないならパソコン綺麗にしたほうが早いですね
81:名無しさん@お腹いっぱい。
09/05/16 05:46:46
Adobe Acrobat Reader自体ダウンロードしてなかったら大丈夫?
それとも対策として入れておいたほうがいい?
82:名無しさん@お腹いっぱい。
09/05/16 05:47:33
>>81
使わないなら入れなくていい
83:名無しさん@お腹いっぱい。
09/05/16 05:53:43
Java script を切ったり、各種ソフトウェアを
更新していれば、万が一書き換えが起きてるサイトを
踏んでも一応大丈夫だと思ってたんだけど
ここ数日で何か変わったのか?
84:名無しさん@お腹いっぱい。
09/05/16 05:57:29
>>83
亜種が出てきてるから何を信じればいいのかわからない状態
85:名無しさん@お腹いっぱい。
09/05/16 06:00:04
>>3
★感染を疑った人の報告
【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】
86:名無しさん@お腹いっぱい。
09/05/16 06:00:53
javaスクリプトは切ったんだけど、それでも一応
javaスクリプト最新版にアップデートしておいた方が良い?
87:名無しさん@お腹いっぱい。
09/05/16 06:01:58
……「同人サイト」ってなに?
エロサイト?
88:名無しさん@お腹いっぱい。
09/05/16 06:03:03
うぁあああああああああああああああああああああああああああああああああああああああああああ
ああああああああああ・・・・・・あああああああああ・・・・・あああああああああああ
ぁぁぁぁぁぁ・・・・・・
89:64
09/05/16 06:03:04
まとめwikiのdir C:\WINDOWS\system32\sqlsodbc.chmをコピってエンターだとファイルが表示されませんて出たけど
コピペのdir C:\WINDOWS\system32\sqlsodbc.chmだと1個のファイル 50,727バイトってちゃんと出た。
何が違ったのかよくわからないけど一応報告
90:名無しさん@お腹いっぱい。
09/05/16 06:07:01
>>89
正常だけど
心配ならウィルスチェックしてみたらいいじゃないの
91:名無しさん@お腹いっぱい。
09/05/16 06:11:49
普通のサイトにトラップだなんて困るわ
92:名無しさん@お腹いっぱい。
09/05/16 06:17:46
このスレですら今の状態だからもう感染爆発は止められないな
ほとんどのメーカー製PCやソフトはマニュアルがPDFで
Acrobatが標準プリインストールされてしまっている
購入後アドビまで探しに行って更新するわけがないし
リカバリすればまた古いAcrobatが再インストールされる
自分のPCにAcrobatがあることすら知らないはず
93:名無しさん@お腹いっぱい。
09/05/16 06:18:34
…げ、evalあった
放置してる上、趣向が趣向だけに
もう閲覧してる人もいないようなサイトだから
ゆっくり考えてから行動するか…
他のサイトは無事で、最優先でチェックした項目に
感染の形跡無いのは何でだろ、亜種かな
94:名無しさん@お腹いっぱい。
09/05/16 06:27:03
>>47
本当に必要なファイルはVirusTotalにかけて、
それ以外の99パーセントのファイルは、一応スキャンした後で、外付けHDDとかに退避がおすすめ。
そしてしばらく凍結。
今は完全に 悪意の攻撃者 >>>>>>>>>>>>>>>>>>>>>>>セキュリティーベンダー
だから、1ヶ月(いや、最悪半年か?)くらい、不要ファイルは寝かせて、
セキュリティーベンダーのウィルス特定精度があがってきた頃に、外付けHDDの中を再スキャン。
その時は、マカフィー、ノートン、G-Data Kaspersky など複数ソフトで検索した方がいいよ。
>>57
なんかほのぼのしているね。
avast使ってないから、なんとも言えんけど、ローカルじゃなくて、ウェブとの通信で見つけたから、
わざわざローカルに保存してチェストに移動する必要がなかったのでは?
>>75
今、凶悪なのが、そこってだけで、前は違ったみたいよ。 だから十中八九また変わる。
95:名無しさん@お腹いっぱい。
09/05/16 06:27:14
まずウイルスチェックしようよ
96:名無しさん@お腹いっぱい。
09/05/16 06:28:00
ソロだとMeteorb楽なんだけど
マルチだと火力きついんだよね
∞ないと雷は乙ってるし、氷じゃソロ辛そうだしムズイ
97:名無しさん@お腹いっぱい。
09/05/16 06:28:42
おはよおー
前スレ終わるのはえーなw
てきとーに読んでみるか
98:名無しさん@お腹いっぱい。
09/05/16 06:28:47
なんという誤爆
99:名無しさん@お腹いっぱい。
09/05/16 06:29:09
なんかのRPG?
100:名無しさん@お腹いっぱい。
09/05/16 06:30:00
>>97
同人板とやらとこのスレを行き来してる人が多かったから
かなり盛り上がってたみたい
101:94
09/05/16 06:32:32
>>86
FlashとかadobeReaderとか
URLリンク(www.java.com)
じゃなくて?
全てアンインストールするか最新じゃないと、脆弱性あるままだよ。
つまり、Javaスクリプトを切って、たとえ、このウィルスには大丈夫でも、
他のウィルスがスタンバイしている状態。
102:名無しさん@お腹いっぱい。
09/05/16 06:33:06
>>97
スレの勢いスゴすぎだよねw
俺も寝る前新スレとして登録したはずなのに、起きたら旧スレになっててワロタ
でもやっとそれだけの人が集まってきたってことなんだろうけど
103:名無しさん@お腹いっぱい。
09/05/16 06:33:32
女性同人はブログで満足せずサイト持ちが多いから影響が大きい
104:名無しさん@お腹いっぱい。
09/05/16 06:34:04
2ちゃん慣れしてるとこのウィルス本当に存在してんの?とか思ってしまう
だけど他のサイトに行って確認するのも怖いというチキン
105:名無しさん@お腹いっぱい。
09/05/16 06:35:01
>>104
こっちは小林のメールマガジンでこのウィルス知ったクチ
その時期に見てなかったから感染しなかったけどね
106:名無しさん@お腹いっぱい。
09/05/16 06:38:25
自分も>>54と同じだ
これって黒…?
107:名無しさん@お腹いっぱい。
09/05/16 06:39:32
それだけで決めてしまうのではなくって
オンラインチェックだとかPC挙動の見つつ判断したほうがいい
108:名無しさん@お腹いっぱい。
09/05/16 06:40:44
>>106
MD5でも比較した方がいい
109:名無しさん@お腹いっぱい。
09/05/16 06:41:20
カスペのオンラインスキャンに拒否られる。
やる気ねーだろ。
110:名無しさん@お腹いっぱい。
09/05/16 06:41:59
>>108
ごめん
MD5のやり方がわからん
111:名無しさん@お腹いっぱい。
09/05/16 06:42:14
ググれ
112:名無しさん@お腹いっぱい。
09/05/16 06:43:36
>>111
ググって変なサイトを見たら、また感染する危険があるだろw
ここで教えろw
113:名無しさん@お腹いっぱい。
09/05/16 06:44:20
こういう人は同人のほうのスレ行った方が優しくしてもらえる
114:名無しさん@お腹いっぱい。
09/05/16 06:44:45
MP5っと…
なんだ?ヘッケラーアンドコックって。
115:名無しさん@お腹いっぱい。
09/05/16 06:45:18
>>110
HashCheckerで探しましょう
116:名無しさん@お腹いっぱい。
09/05/16 06:47:24
Wikipedia項目リンク
MD5(エムディーファイブ、Message Digest Algorithm 5)とは、与えられた入力に対して128ビットのハッシュ値を出力するハッシュ関数である。
1991年に開発されたMD5は、前身であるMD4の安全性を向上させたものである。開発者はMD4と同じく、MIT教授のロナルド・リベスト。
Linuxでは md5sum、FreeBSDでは md5 というコマンドが用意されており、これを用いてメッセージダイジェストを出力することが出来る。
出力されるメッセージダイジェストは、d41d8cd98f00b204e9800998ecf8427e (入力データ長が0バイトの場合)
の様に16進数の数字が並んだテキスト形式で出力され、これをフィンガプリント(指紋)やハッシュ値、あるいは単にMD5値と呼ぶ。
「MD5チェックサム」とも良く言われる。
117:名無しさん@お腹いっぱい。
09/05/16 06:48:19
MD5は、電子署名を必要とするアプリケーション向けに開発された。RSAで署名を生成する際に、メッセージを直接対象として
署名を生成するのではなく、メッセージのハッシュ値を生成し、ハッシュ値に対して署名を生成する。
ファイルを転送する際にそのファイルが破損していないことを確認するためにも用いられる。配布する側は、
ファイル配布時にそのファイルのMD5ハッシュ値(いわゆるMD5チェックサム)も同時に配布する。受信したユーザは
手元でファイルのMD5値を計算して、配布者の提示したMD5値と一致することを確認すれば良い。このような目的に
CRCを用いることもあるが、CRCは標準が複数存在するため現在ではあまり見られない。
またファイルが改竄されていないことを証明するためにも用いられる。これにより、作成者以外による
トロイの木馬やコンピュータウイルスなどの混入を防ぐことが出来る。 しかしながら、この場合MD5値は手元で計算できるのだから、
改竄済みのファイルのMD5値が同梱されている可能性がある。従って、改竄の恐れがある場合には、
ファイルに同封されているMD5値と比較するのではなく、MD5値だけは何かしら信頼できる方法で配布者から入手する必要がある。
118:名無しさん@お腹いっぱい。
09/05/16 06:49:00
FreeBSDはインストール可能なCDイメージと、それのMD5値を同時に配布している。
(MD5値の改変はないと仮定して)インストール可能なCDイメージが、途中で改変されていないことを確認してみる。
配布サイトから、ここでは 5.1-RELEASE-i386-miniinst.iso という最小構成のインストールイメージファイルと、
CHECKSUM.MD5 というMD5値(いわゆるMD5チェックサム)の書かれたテキストファイルをダウンロードする。
md5 コマンドを、イメージファイルに実行する。
localhost% md5 5.1-RELEASE-i386-miniinst.iso
MD5 (5.1-RELEASE-i386-miniinst.iso) = 646da9ae5d90e6b51b06ede01b9fed67
CHECKSUM.MD5の中身を確認し、一致していれば破損の可能性は低いことが分かる。
localhost% cat CHECKSUM.MD5
MD5 (5.1-RELEASE-i386-disc1.iso) = 3b6619cffb5f96e1acfa578badae372f
MD5 (5.1-RELEASE-i386-disc2.iso) = 2cfa746974210d68e96ee620bf842fb6
MD5 (5.1-RELEASE-i386-miniinst.iso) = 646da9ae5d90e6b51b06ede01b9fed67
119:名無しさん@お腹いっぱい。
09/05/16 06:49:32
>>112
なにこいつw
120:名無しさん@お腹いっぱい。
09/05/16 06:50:06
ブログやなんかで記事書いてもたいして読まれて無いし意味無いかな〜
121:名無しさん@お腹いっぱい。
09/05/16 06:51:09
///)
/,.=゙''"/
/ i f ,.r='"-‐'つ____ 同人サイトなんてどうでもいいんだよ!!
/ / _,.-‐'~/⌒ ⌒\
/ ,i ,二ニ⊃( ●). (●)\
/ ノ il゙フ ::::::⌒(__人__)⌒::::: \
,イ「ト、 ,!,!| |r┬-| |
/ iトヾヽ_/ィ"\ `ー'´ /
122:名無しさん@お腹いっぱい。
09/05/16 06:51:38
そういやGW始まったばかりの頃にすげー重くなって
こりゃいかんとリカバリしたことあった
すごく軽くなって満足してたが今思えばウイルスに感染してたのか…
123:名無しさん@お腹いっぱい。
09/05/16 06:53:31
>>121
社員さんいいかげんにしてくださいよ
124:名無しさん@お腹いっぱい。
09/05/16 06:53:55
>>115
ありがとう
HASH CHECKER入れてみます
ネットつなげるの少し怖いなw
125:名無しさん@お腹いっぱい。
09/05/16 06:54:09
メインストリーム落ちしたOS使ってないと感染しないのにすごい盛り上がりっぷりだな
126:名無しさん@お腹いっぱい。
09/05/16 06:54:40
>>125
メインストリーム落ちしたOSって?
127:名無しさん@お腹いっぱい。
09/05/16 06:54:45
>>124
URLリンク(www.vector.co.jp)
128:名無しさん@お腹いっぱい。
09/05/16 06:55:26
NTTコミュニケーションズさん
120.29.185.234(VPS-TOKYO2)
今日も踏んでみたけど放置のままなんだなあ・・・
129:名無しさん@お腹いっぱい。
09/05/16 06:55:46
>>116
Wikipediaの説明読んでも、全く理解できないんだが・・・
結局、MD5がGENOウイルスとどう関係しているの?
130:名無しさん@お腹いっぱい。
09/05/16 06:57:22
>>128
これってどんなサイト?
131:名無しさん@お腹いっぱい。
09/05/16 06:58:01
>>120
今日はすごいヒット数になるかもよ
まだ分かってないやつ多いと思う
132:名無しさん@お腹いっぱい。
09/05/16 06:58:12
>>124
少し怖い(セキュリティ的に)と思ったなら今後対策を常に講じれば良いだけです。
それに気がついただけでも良いことだと思いますよ。
133:名無しさん@お腹いっぱい。
09/05/16 06:58:15
小林製薬のページは今でも感染ばら撒いてる最中なの?
もう改善されて感染されちゃったよっていう伝達がされてるの?
134:名無しさん@お腹いっぱい。
09/05/16 06:59:32
>>133
メルマガより
いつも「暮らしのヒントお知らせ隊」メールマガジンをご愛読いただき
誠にありがとうございます。
この度、弊社サイトの一部(「暮らしのヒントお知らせ隊」含む)に
おいて第三者による改ざんが確認され、当該期間に下記サイトを閲覧
された方にウイルス感染の恐れがあることが判明いたしました。
■閲覧により感染した可能性のある期間
5月10日(日)20時23分 〜 5月11日(月)21時27分
■改ざんされたサイト
・暮らしのヒントお知らせ隊
・ハナノア ブランドサイト
・イージーファイバー ブランドサイト
上記期間に当該サイトにアクセスされた皆様におかれましては、誠に
お手数ではございますが、下記URLにて対応をご確認下さい。
URLリンク(www.kobayashi.co.jp)
平素から弊社サイトをご覧いただいている皆様にご迷惑をおかけしま
したこと、心よりお詫び申し上げます。
引き続きサイトの安全管理には万全を尽くしてまいりますので、今後とも
よろしくお願い申し上げます。
135:名無しさん@お腹いっぱい。
09/05/16 07:00:50
>>130
表示されないので謎
136:名無しさん@お腹いっぱい。
09/05/16 07:02:35
UAC切ってたvistaってやばいよね…?
137:名無しさん@お腹いっぱい。
09/05/16 07:03:34
>>134
ありがとう
対応されてるみたいだな
っつーか一応有名企業なのに誰か報道してくれんのか
138:名無しさん@お腹いっぱい。
09/05/16 07:04:17
>>129
意味がわからなければ半年romれ
139:名無しさん@お腹いっぱい。
09/05/16 07:05:14
>>138
ROMったらウィルス感染しちゃうわ
140:名無しさん@お腹いっぱい。
09/05/16 07:05:17
感染してる人ってしてない人より楽観的だよね
141:名無しさん@お腹いっぱい。
09/05/16 07:05:30
だから感染するんだよな
142:名無しさん@お腹いっぱい。
09/05/16 07:05:32
前スレ816
816 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2009/05/16(土) 03:13:52
>>806 ぐぐったらこんなんでました
URLリンク(detail.chiebukuro.yahoo.co.jp)
あれ?リンク先・・・日付が・・・
それとこの一文
>ブラウザの一時ファイルを削除することで、ウイルスが駆除できるでしょう。
まさかgenoはこれを見て・・・
143:名無しさん@お腹いっぱい。
09/05/16 07:07:13
>>135
ていうかNTTのくせになにやってるんだろうね
144:名無しさん@お腹いっぱい。
09/05/16 07:08:20
>>142
GENOってパソコン関係のショップなんでしょ?
ありえない…
145:名無しさん@お腹いっぱい。
09/05/16 07:08:37
>>138
ROMっているだけで感染するんだが
146:名無しさん@お腹いっぱい。
09/05/16 07:08:49
>>139
テンプレをちゃんと見ればわかるだろ
わからなければわからない自分を呪え
147:名無しさん@お腹いっぱい。
09/05/16 07:09:55
危険なIPをルーターで全部フィルタリングした
一括登録できないからマジ疲れた…寝る
148:名無しさん@お腹いっぱい。
09/05/16 07:10:09
sqlsodbc.chm ってXPだけのファイル?
149:名無しさん@お腹いっぱい。
09/05/16 07:10:17
わからないなら違う方法で確認すりゃいいのに
150:名無しさん@お腹いっぱい。
09/05/16 07:11:10
>>41
確認しようとぐぐったけど さっぱりわからんかったw
151:名無しさん@お腹いっぱい。
09/05/16 07:11:41
>>129
MD5は該当ファイルの中身を関数で計算し値を出力する。
同じファイルで計算すると同じ値になる。
*現状の*では既存ファイルの中身を書き換える。
だからMD5の値を比較すれば書きらえたかどうかが分かる。
152:名無しさん@お腹いっぱい。
09/05/16 07:11:55
改めてJavascript切ることの重要性がわかったわ
でも最近の公式サイトとかはJavascript、Flash使いまくりだからな〜
めんどうなんでほとんどWikipediaで済ましてるわ
153:名無しさん@お腹いっぱい。
09/05/16 07:12:44
>>152
なんであんなにフラッシュ使うんだろうね
154:94
09/05/16 07:13:05
>>129
今のところ、感染したPCのファイルの一部が ウィルス作者に都合がいいように書き換えられるんだけど、
そんな違いが初心者にわかるわけないだろ?
もっと簡単に、
君のPCが、ウィルスに感染していない(書き換えられていないファイル) だと判断するには、
書き換えられていない正常なファイルと比較して一致すれば良い。
だが、一致しているかを判断するのも大変そうだから、ツールを使って調べるわけ。
MD5ってのはファイルの指紋みたいなもので、
正常なファイルの指紋と 君のPCの同じ名前のファイル の指紋が一致すれば
多分感染していなそうだ・・・という推測が成り立つ(感染した全部PCのファイル書き換えるとは言い切れないため)。
反対に感染しているファイルの指紋と 一致しちゃったら、100パーセント 感染しているってこと。
その指紋を取るソフトが>>124とか>>127なわけ。
155:名無しさん@お腹いっぱい。
09/05/16 07:13:43
みんなおはよう
ちなみに、Firefox系のブラウザでGoogle検索しただけで、感染したサイトが一番上ならGoogleの検索結果開いただけで感染する可能性あり。
Googleの先読み機能が影響してるので怖い方はabout:configからnetwork.prefetch-nextをfalseにすること推奨
156:名無しさん@お腹いっぱい。
09/05/16 07:13:43
>>148
Windows2000以外には存在する。
157:名無しさん@お腹いっぱい。
09/05/16 07:15:03
MD5云々は最終結論だとして、
sqlsodbcのファイルサイズを偽装したウイルスは確認されてるの?
158:名無しさん@お腹いっぱい。
09/05/16 07:15:04
>>153
制作会社がうまーなのかな
159:名無しさん@お腹いっぱい。
09/05/16 07:16:02
>>156
Meにも存在する?
160:名無しさん@お腹いっぱい。
09/05/16 07:16:30
>>155
Google以外の検索サイトは先読みしないんですかね?
161:名無しさん@お腹いっぱい。
09/05/16 07:17:01
アドバイス宜しくお願いします。
【OS】XP SP3
【使用セキュリティソフト】ウイルスバスター2009
【疑った理由】
セキュリティログを見てたらこんなログがでてた(その時間は嫁が使ってた。)
そのあとどんな処理をしたかは覚えていないらしい。
"フィッシング詐欺対策" "2009/05/08"
"時間" "URLアドレス" "偽装サイトブロック (ホスト名変換)" "脅威"
"15:55" "URLリンク(gumblar.cn)" "" "このWebサイトは安全でない可能性があります。
このWebサイトにはスパイウェアや不正プログラムが存在しているか、
またはこのWebサイトは偽のWebサイトか、
安全性が非常に低いと評価されているWebサイトです。"
"15:56" "URLリンク(gumblar.cn)" "" "このWebサイトは安全でない可能性があります。
このWebサイトにはスパイウェアや不正プログラムが存在しているか、
またはこのWebサイトは偽のWebサイトか、
安全性が非常に低いと評価されているWebサイトです。"
【症状】
今のところ自覚症状なし
【確認手段】
sqlsodbc.chmのサイズ,MD5チェック、カスペオンラインスキャン、バスターウィルススキャン
cmd.exe、regedit.exeの起動チェック、特定サイトのアクセスチェック
URLリンク(www3.atword.jp)を参考にレジストリチェック
【結果】
sqlsodbc.chmのサイズ、MD5共に問題なし。cmd.exe、regedit.exeの起動OK。CPU、メモリ使用率も問題なし。CPU、メモリ使用率も問題なし。
カスペオンラインスキャン何も検知せず。レジストリも問題なし。
バスターウィルススキャンスパイウェアは検知したが、全てクッキーにある奴だけ。ウィルスは検知していない。
この結果でほぼ感染していないと思ってますが、皆様の助言を頂きたく書込みしました。
その他チェック項目等がありましたらご指導ください。
162:名無しさん@お腹いっぱい。
09/05/16 07:17:35
心配なら一週間回線切って寝ろ
163:名無しさん@お腹いっぱい。
09/05/16 07:17:49
>>154
129じゃないんだが、その指紋にあたるのがバイト数ってことですか?
164:94 101 154
09/05/16 07:18:02
つづき。
>>129
そのファイルの場所が>>7
指紋の値が>>6
だが、>>4の最後に
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
とあるので、これで大丈夫だから感染していない! とは言い切れないわけ。
あくまで黒を特定する為の手段。
165:名無しさん@お腹いっぱい。
09/05/16 07:18:37
>>158
わざわざ重たいサイトつくって金もらうのね
166:名無しさん@お腹いっぱい。
09/05/16 07:19:38
>>165
特にゲーム会社のHPってトップページからフラッシュで重すぎるから
リンク貼られていても飛ばないようにしているわ・・・
見れるまで1分かかるとかイライラする
167:名無しさん@お腹いっぱい。
09/05/16 07:19:49
>>160
してないと思う
>>162
問題なし
あとhttp://のところはhXXp://とかにしろ
168:名無しさん@お腹いっぱい。
09/05/16 07:19:50
>>164
トン
わかりやすかった
169:名無しさん@お腹いっぱい。
09/05/16 07:19:58
Adobe Reader Speed-Upってどこで手に入るの?
170:名無しさん@お腹いっぱい。
09/05/16 07:20:35
前スレの>>216これか・・・
111 名前:GENO[sage] 投稿日:2009/05/16(土) 00:04:18 ID:Fd0/+V3h0
バイオハザードと戦国ゲームを扱っているサイトで感染確認
数日前に行った時はAVAST!が怒るくらいで済んだが次に行ったらAVAST!が激怒
もしかしたら新種か亜種か何かにここ数日で進化したか?
怒る→警告とこのサイトの通信遮断するところクリック
激怒→ウィルスをチェスト送り推奨で今現在チェストに放り込まれてる
ただ放り込まれているのはキャッシュなので過剰反応かもしれん
因みに火狐+JSカットで隔離までいったw
とりあえず最初にいった時にウィルスの報告したんだけど対応していないソフトで
検査したらしく管理人さんは大丈夫って思っている
次にいった時はAVAST!激怒したので報告むりぽ
171:名無しさん@お腹いっぱい。
09/05/16 07:20:35
>>161
大丈夫だとおもいます
ですが実際見ているわけじゃないので
精神的に不安ならばクリーンインスコ
大丈夫そうならそのままで
172:167
09/05/16 07:20:49
安価ミス
×>>162
○>>161
173:名無しさん@お腹いっぱい。
09/05/16 07:21:00
エロゲー公式サイトとかは切ってても大丈夫なとこが多い
174:名無しさん@お腹いっぱい。
09/05/16 07:21:29
>>165
取引として考える一つの指標として
命令文・タグ、がいくつ存在するかってのがある
タグ打ちよりもFlashの方が命令文が多いのならば
そっちの方が金になるってことでFlashを使うってのもあるかもしれない
175:名無しさん@お腹いっぱい。
09/05/16 07:22:00
>>166
どんだけ遅い回線だよ
176:名無しさん@お腹いっぱい。
09/05/16 07:22:57
WindowsMe使っているんだが、C:\WINDOWS\system32 に sqlsodbc.chm ってファイル無いんだが?
177:名無しさん@お腹いっぱい。
09/05/16 07:23:08
金儲けに走ると悪いことが起きるってばっちゃが
178:名無しさん@お腹いっぱい。
09/05/16 07:23:36
もうMeはお呼びじゃない
使うならオフライン専用で
179:161
09/05/16 07:24:08
直リンすみませんでした。
>>167様
ご回答有難うございます。
問題なさそうなので、安心して眠れます。
180:94 101 154
09/05/16 07:24:29
>>163
>>164に書いたとおり、指紋の値がMD5の値。
バイト数は、指紋にはならない。
バイト数(ファイルサイズ)なんて、不要なデータを追加すれば、いくらでも変えられるじゃん。
181:名無しさん@お腹いっぱい。
09/05/16 07:26:50
>>159
Meにはデフォルトではchmはいっていませんが、他ソフト導入や更新をすると入るようです
182:名無しさん@お腹いっぱい。
09/05/16 07:29:02
同人のスレ見てたらwin98の人もいた・・・
183:名無しさん@お腹いっぱい。
09/05/16 07:30:07
疎い人なら今もふらふらネットサーフィンしてるんだろな
ちょっと挙動がおかしくても気にしなかったり
なんでもOK押したりさ・・・
184:名無しさん@お腹いっぱい。
09/05/16 07:31:53
そういう時期がわたしにもありました。
185:名無しさん@お腹いっぱい。
09/05/16 07:32:08
挙動がおかしくても、Win98だからかな、古いPCだからかな
程度で済んでしまうのかもしれないな
186:名無しさん@お腹いっぱい。
09/05/16 07:32:48
同人系ってPCの買い替えサイクルすっげ速そうなイメージあったのに
そうでもないのかね
Macとりなくすのユーザーがのほほんしててうらやましい・・・
187:名無しさん@お腹いっぱい。
09/05/16 07:34:37
こんな時だけだよな「Linux使ってて良かった」って思うのは
188:名無しさん@お腹いっぱい。
09/05/16 07:34:40
質問しに来ました
もし自分のサイトにスクリプト埋め込まれた場合、セキュリティソフトは警告出しますか?
189:名無しさん@お腹いっぱい。
09/05/16 07:34:54
というかWin98だとウイルスきかなそうなイメージがあるんだが
古すぎて
そんな事はないんだよなあ
190:名無しさん@お腹いっぱい。
09/05/16 07:35:31
これ結構酷いウイルスみたいだけど、ニュー速にスレないんだな
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5379日前に更新/206 KB
担当:undef